安全419了解到,银保监会近日向各银保监局、银行、保险公司、金融资产管理公司、养老金管理公司下发了《中国银保监会办公厅关于银行业保险业数字化转型的指导意见》(下称《意见》)。
《意见》的工作目标为到2025年,银行业保险业数字化转型取得明显成效。数字化金融产品和服务方式广泛普及,基于数据资产和数字化技术的金融创新有序实践,个性化、差异化、定制化产品和服务开发能力明显增强,金融服务质量和效率显著提高。数字化经营管理体系基本建成,数据治理更加健全,科技能力大幅提升,网络安全、数据安全和风险管理水平全面提升。这与中国人民银行印发《金融科技发展规划(2022-2025年)》时间点一致。
《意见》提出了坚持互利共赢的基本原则。在确保网络安全、数据安全的前提下建设合作共赢、安全高效的经营生态环境,加强系统集成,提升金融服务能力和市场竞争能力。针对客户需求,与相关市场主体依法依规开展合作,创新服务场景,丰富金融服务产品与渠道。强化系统集成,加强内外部资源整合,统筹规划与第三方企业合作提供金融产品服务的内容和流程,建立面向开放平台的技术架构体系和敏捷安全的平台管理机制,对金融服务价值链中的关键活动进行有效管理和协调。
对此,科技能力建设、数据能力建设与风险防范都需要同步加码。
提高科技架构支撑能力 提高新技术应用和自主可控能力
推进传统架构向分布式架构转型,主要业务系统实现平台化、模块化、服务化,加强对开放金融服务接口的统一管理,实现安全可控运行。坚持关键技术自主可控原则,对业务经营发展有重大影响的关键平台、关键组件以及关键信息基础设施要形成自主研发能力,降低外部依赖、避免单一依赖。加强自主研发技术知识产权保护。加强技术供应链安全管理。
强化网络安全防护
构建云环境、分布式架构下的技术安全防护体系,加强互联网资产管理,完善纵深防御体系,做好网络安全边界延展的安全控制。加强金融生态安全防护,强化与外部合作的网络安全风险监测与隔离。建立开放平台安全管理规范,提高业务逻辑安全管理能力。建立新技术引入安全风险评估机制,强化技术风险管理,实施开源软件全生命周期安全管理。建设安全运营中心,充分利用态势感知、威胁情报、大数据等手段,持续提高网络安全风险监测、预警和应急处置能力,加强行业内外部协同联动。
加强数据安全和隐私保护
完善数据安全管理体系,建立数据分级分类管理制度,明确保护策略,落实技术和管理措施。强化对数据的安全访问控制,建立数据全生命周期的安全闭环管理机制。加强第三方数据合作安全评估,交由第三方处理数据的,应依据"最小、必要"原则进行脱敏处理(国家法律法规及行业主管部门、监管部门另有规定的除外)。关注外部数据源合规风险,明确数据权属关系,加强数据安全技术保护。加强对外发布信息安全管理。
加强数字化风控能力建设
加快建设与数字化转型相匹配的风险控制体系。建立企业级的风险管理平台,实现规则策略、模型算法的集中统一管理,对模型开发、验证、部署、评价、退出进行全流程管理。利用大数据、人工智能等技术优化各类风险管理系统,将数字化风控工具嵌入业务流程,提升风险监测预警智能化水平。
目前,除了少数科技能力尤其突出的银行机构以外,大部分机构都需要谋求外部合作。《意见》同步要求加强外包风险管理。有效管控价值链中与第三方合作企业相关的集中度风险和供应链风险,做好业务连续性规划和应急管理,保障关键外部合作方的可替代性。
同时,为进一步加强银行保险机构信息科技外包风险监管,促进银行保险机构提升信息技外包风险管控能力,推动银行保险机构稳健开展数字化转型工作,1月21日,中国银保监会官网发布《银行保险机构信息科技外包风险监管办法》,明确不得将网络安全主体责任外包,并要求着力保障网络和信息安全,加强重要数据和个人信息保护。(点击查看安全419详细报道《银保监会:银行保险机构不得将网络安全主体责任外包》)。